A Tenable, empresa de gerenciamento de exposição na nuvem, descobriu uma vulnerabilidade de escalada de privilégios no Google Cloud Platform Composer (GCP) chamada ConfusedComposer. Segundo a pesquisa, a vulnerabilidade permitia que atacantes com permissões limitadas escalassem seu acesso para a conta de serviço do Cloud Build, expondo potencialmente dados sensíveis e alterando os ambientes na nuvem.
Vulnerabilidade ConfusedComposer
ConfusedComposer é uma variante de uma vulnerabilidade descoberta pela Tenable chamada ConfusedFunction, e destaca a complexidade e semelhança dos serviços na nuvem que eventualmente levaram a uma variante de exploração.
De acordo com os especialistas, o Cloud Composer usa o Cloud Build, um serviço de integração e entrega contínua (CI/CD) totalmente gerenciado no GCP, para instalar pacotes personalizados do PyPI (Python Package Index), utilizando uma conta de serviço padrão do Cloud Build com privilégios elevados.
Segundo as descobertas da Tenable Research, atacantes com permissões de edição nos ambientes do Cloud Composer poderiam explorar esse processo injetando um pacote malicioso, permitindo que escalassem privilégios e tomassem controle da conta de serviço do Cloud Build. Isso daria acesso a recursos críticos do GCP, como o Cloud Build, o Cloud Storage e o Artifact Registry, demonstrando os riscos dos privilégios herdados na nuvem.
Segundo a Tenable, o ConfusedComposer ressaltou uma preocupação de segurança mais ampla que costuma acumular estratégias de Cibersegurança. Ou seja, é uma tendência dos provedores de serviços na nuvem de empilhar serviços uns sobre os outros, permitindo que os riscos de segurança e as vulnerabilidades em uma camada se propaguem para outros serviços.
“Quando você joga Jenga, remover um bloco pode deixar toda a torre instável”, disse Liv Matan, pesquisadora Sênior de Segurança na Tenable. “Os serviços na nuvem funcionam da mesma forma. Se uma camada tem configurações padrão arriscadas, esse risco pode se propagar para outras, tornando as falhas de segurança prováveis.”
Segundo a pesquisa o impacto potencial da exploração do ConfusedComposer poderia permitir que os atacantes roubassem dados sensíveis dos serviços do GCP, injetassem código malicioso nos pipelines. Ainda mantendo o acesso persistente por meio de “backdoors” e a escalada de rivilégios para assumir controle total do projeto GCP da vítima
Medidas de proteção
A organização afirmou que o corrigiu o ConfusedComposer e nenhuma ação adicional é necessária. Além de recomendar medidas para equipes de segurança, como o uso de modelo de privilégios mínimos para evitar a herança desnecessária de permissões, o mapeamento das dependências ocultas entre serviços na nuvem utilizando ferramentas. E a revisão regular dos logs para detectar padrões suspeitos de acesso.
“O descobrimento do ConfusedComposer destaca a necessidade de as equipes de segurança descobrirem interações ocultas na nuvem e aplicarem controles rígidos de privilégios. À medida que os ambientes na nuvem se tornam mais complexos, é crucial identificar e abordar riscos antes que os atacantes se aproveitem deles”, acrescentou a especialista.
